Cero Day’s en nuestros equipos

Una noticia un poco pasada pero que es muy actual en todo lo que sucede detras de nuestros equipos…… La CIA y sus malditos tentàculos.

Martes 7 de marzo de 2017, WikiLeaks comienza su nueva serie de filtraciones en la Agencia Central de Inteligencia de los EE. UU. Con el nombre en código “Vault 7” de WikiLeaks, es la publicación más grande jamás publicada de documentos confidenciales en la agencia.

La primera parte completa de la serie, “Año Cero”, comprende 8.761 documentos y archivos de una red aislada y de alta seguridad situada dentro del Centro de Ciber Inteligencia de la CIA en Langley, Virginia. Sigue a una revelación introductoria el mes pasado de la CIA dirigida a los partidos políticos y candidatos franceses en el período previo a las elecciones presidenciales de 2012 .

Recientemente, la CIA perdió el control de la mayoría de su arsenal de piratería informática, incluidos malware, virus, troyanos, exploits armados de “día cero”, sistemas de control remoto de malware y documentación asociada. Esta extraordinaria colección, que asciende a más de varios cientos de millones de líneas de código, le da a su poseedor toda la capacidad de pirateo de la CIA. Parece que el archivo circuló entre piratas informáticos y contratistas del gobierno de EE. UU. De forma no autorizada, uno de los cuales proporcionó a WikiLeaks partes del archivo.

“Year Zero” presenta el alcance y la dirección del programa global de piratería clandestina de la CIA, su arsenal de malware y docenas de exploits armados de “día cero” contra una amplia gama de productos de empresas estadounidenses y europeas, incluyendo iPhone de Apple, Android de Google y Windows de Microsoft. incluso los televisores Samsung, que se convierten en micrófonos encubiertos.

Desde 2001, la CIA ha ganado preeminencia política y presupuestaria sobre la Agencia de Seguridad Nacional de los Estados Unidos (NSA). La CIA se encontró construyendo no solo su infame flota de aviones no tripulados, sino un tipo muy diferente de fuerza encubierta que abarca todo el planeta: su propia flota sustancial de hackers. La división de piratería de la agencia lo liberó de tener que revelar sus operaciones a menudo controvertidas a la NSA (su principal rival burocrático) con el fin de aprovechar las capacidades de pirateo de la NSA.

A fines de 2016, la división de piratería de la CIA, que pertenece formalmente al Centro de Ciberinteligencia (CCI) de la agencia, tenía más de 5000 usuarios registrados y había producido más de mil sistemas de piratería informática, troyanos, virus y otro malware “armado”. . Tal es la escala de la empresa de la CIA que para 2016, sus piratas informáticos habían utilizado más código que el utilizado para ejecutar Facebook. La CIA había creado, en efecto, su “propia NSA” con incluso menos responsabilidad y sin responder públicamente a la pregunta de si tal gasto presupuestario masivo en la duplicación de las capacidades de una agencia rival podría justificarse.

En una declaración a WikiLeaks, la fuente detalla las preguntas de política que dicen que deben debatirse urgentemente en público, incluso si las capacidades de pirateo de la CIA exceden sus poderes obligatorios y el problema de la supervisión pública de la agencia. La fuente desea iniciar un debate público sobre la seguridad, la creación, el uso, la proliferación y el control democrático de las armas cibernéticas.

Una vez que un solo ‘arma’ cibernética es ‘suelto’, puede extenderse por todo el mundo en segundos, para ser utilizado por estados rivales, ciber mafia y hackers adolescentes por igual.

Julian Assange, editor de WikiLeaks declaró que “Existe un riesgo extremo de proliferación en el desarrollo de ‘armas’ cibernéticas. Se pueden comparar la proliferación descontrolada de esas ‘armas’, que resulta de la incapacidad de contenerlas combinadas con su alto mercado. valor y el comercio mundial de armas. Pero la importancia del “año cero” va más allá de la elección entre la ciberguerra y la ciberpaz. La revelación también es excepcional desde una perspectiva política, legal y forense “.

Wikileaks revisó cuidadosamente la divulgación del “año cero” y publicó documentación sustantiva de la CIA evitando la distribución de armas cibernéticas “armadas” hasta que surja un consenso sobre la naturaleza técnica y política del programa de la CIA y cómo esas “armas” deberían analizarse, desarmarse y publicarse .

Wikileaks también ha decidido redactar y anonimizar cierta información de identificación en “Año Cero” para un análisis en profundidad. Estas redacciones incluyen diez de miles de objetivos de la CIA y máquinas de ataque en América Latina, Europa y los Estados Unidos. Si bien conocemos los resultados imperfectos de cualquier enfoque elegido, seguimos comprometidos con nuestro modelo de publicación y observamos que la cantidad de páginas publicadas en “Vault 7” parte uno (“Año Cero”) ya eclipsa el número total de páginas publicadas en los primeros tres años de Edward Snowden NSA se filtran.

Análisis

CIA malware apunta a iPhone, Android, televisores inteligentes

Las herramientas de malware y piratería de la CIA son creadas por EDG (Engineering Development Group), un grupo de desarrollo de software dentro de CCI (Center for Cyber ​​Intelligence), un departamento perteneciente a la DDI (Dirección de Innovación Digital) de la CIA. El DDI es una de las cinco principales direcciones de la CIA (ver este organigrama de la CIA para más detalles).

El EDG es responsable del desarrollo, prueba y soporte operacional de todas las puertas traseras, exploits, cargas maliciosas, troyanos, virus y cualquier otro tipo de malware utilizado por la CIA en sus operaciones encubiertas en todo el mundo.

La creciente sofisticación de las técnicas de vigilancia ha hecho comparaciones con George Orwell de 1984, pero “Weeping Angel”, desarrollado por Embedded Devices Branch (EDB) de la CIA, que infesta televisores inteligentes, transformándolos en micrófonos encubiertos, es seguramente su realización más emblemática.

El ataque contra los televisores inteligentes de Samsung se desarrolló en cooperación con el MI5 / BTSS del Reino Unido. Después de la infestación, Weeping Angel coloca el televisor de destino en un modo ‘Fake-Off’, por lo que el propietario cree falsamente que el televisor está apagado cuando está encendido. En el modo ‘Fake-Off’, el televisor funciona como un error, registra conversaciones en la sala y las envía por Internet a un servidor secreto de la CIA.

A partir de octubre de 2014, la CIA también estaba tratando de infectar los sistemas de control del vehículo utilizados por los automóviles y camiones modernos . El propósito de tal control no está especificado, pero permitiría a la CIA participar en asesinatos casi indetectables.

La división de dispositivos móviles de la CIA (MDB) desarrolló numerosos ataques para hackear y controlar de forma remota teléfonos inteligentes populares . Los teléfonos infectados pueden recibir instrucciones para enviar a la CIA las comunicaciones de geolocalización, audio y texto del usuario, así como activar encubiertamente la cámara y el micrófono del teléfono.

A pesar de la participación minoritaria de iPhone (14.5%) del mercado mundial de teléfonos inteligentes en 2016, una unidad especializada en la División de Desarrollo Móvil de la CIA produce malware para infestar, controlar y filtrar datos de iPhones y otros productos de Apple con iOS, como iPads . El arsenal de la CIA incluye numerosos “días cero” locales y remotos desarrollados por la CIA u obtenidos de GCHQ, NSA, FBI o comprados a contratistas de armas cibernéticas como Baitshop. El enfoque desproporcionado en iOS se puede explicar por la popularidad del iPhone entre las élites sociales, políticas, diplomáticas y empresariales.

Una unidad similar se dirige a Android de Google, que se utiliza para ejecutar la mayoría de los teléfonos inteligentes del mundo (~ 85%), incluidos Samsung, HTC y Sony . 1.15 mil millones de teléfonos con Android se vendieron el año pasado. “Año Cero” muestra que, a partir de 2016, la CIA tenía 24 “días cero” Android “armados” que se desarrolló y obtuvo de GCHQ, NSA y contratistas de armas cibernéticas.

Estas técnicas permiten a la CIA eludir el cifrado de WhatsApp, Signal, Telegram, Wiebo, Confide y Cloackman pirateando los teléfonos “inteligentes” en los que se ejecutan y recopilando tráfico de audio y mensajes antes de que se aplique el cifrado.

El malware CIA apunta a enrutadores Windows, OSx, Linux

La CIA también realiza un esfuerzo muy importante para infectar y controlar a los usuarios de Microsoft Windows con su malware. Esto incluye varios virus “cero días” armados locales y remotos, tales como “Hammer Drill”, que infecta software distribuido en CD / DVD, virus para medios extraíbles como USB , sistemas para ocultar datos en imágenes o en áreas de disco ocultas ( “Brutal Kangaroo” ) y para mantener activas sus infestaciones de malware .

Muchos de estos esfuerzos de infección se unen por la rama de implantes automatizados de la CIA (AIB) , que ha desarrollado varios sistemas de ataque para la infestación y control automatizados de malware de la CIA, como “Assassin” y “Medusa”.

Los ataques contra la infraestructura de Internet y los servidores web son desarrollados por la Red Devices Branch (NDB) de la CIA.

La CIA ha desarrollado sistemas de control y ataque de malware multiplataforma automatizados que cubren Windows, Mac OS X, Solaris, Linux y más, como “HIVE” de EDB y las herramientas “Cutthroat” y “Swindle” relacionadas, que se describen en los ejemplos la sección a continuación .

Vulnerabilidades “acumuladas” de la CIA (“días cero”)

A raíz de las filtraciones de Edward Snowden sobre la NSA, la industria de tecnología de EE. UU. Se aseguró el compromiso de la administración Obama de que el ejecutivo divulgaría de forma permanente, en lugar de atesorar, vulnerabilidades serias, explotaciones, errores o “días cero” para Apple, Google, Microsoft y otros fabricantes con sede en los EE. UU.

Las vulnerabilidades graves que no se divulgan a los fabricantes colocan a gran parte de la población y la infraestructura crítica en riesgo para la inteligencia extranjera o los ciberdelincuentes que descubren o escuchan de forma independiente los rumores de la vulnerabilidad. Si la CIA puede descubrir tales vulnerabilidades también pueden otros.

El compromiso del gobierno de los EE. UU. Con el Proceso de Equidad de Vulnerabilidades se produjo después de un cabildeo significativo de las empresas de tecnología de los EE. UU., Que corren el riesgo de perder su participación en el mercado mundial por vulnerabilidades ocultas reales y percibidas. El gobierno declaró que revelaría todas las vulnerabilidades generalizadas descubiertas después de 2010 de manera continua.

Los documentos del “año cero” muestran que la CIA incumplió los compromisos de la administración Obama. Muchas de las vulnerabilidades utilizadas en el arsenal cibernético de la CIA son omnipresentes y algunas ya pueden haber sido encontradas por agencias de inteligencia rivales o ciberdelincuentes.

Como ejemplo, el malware específico de la CIA revelado en “Year Zero” es capaz de penetrar, infestar y controlar tanto el teléfono Android como el software para iPhone que ejecuta o ha ejecutado cuentas presidenciales de Twitter. La CIA ataca este software mediante el uso de vulnerabilidades de seguridad no divulgadas (“días cero”) que posee la CIA, pero si la CIA puede hackear estos teléfonos, también lo pueden hacer todos los demás que hayan obtenido o descubierto la vulnerabilidad. Mientras la CIA mantenga ocultas estas vulnerabilidades de Apple y Google (que fabrican los teléfonos), no serán reparadas y los teléfonos seguirán siendo pirateables.

Las mismas vulnerabilidades existen para la población en general, incluido el Gabinete de los Estados Unidos, el Congreso, los principales directores ejecutivos, administradores de sistemas, oficiales de seguridad e ingenieros. Al ocultar estos defectos de seguridad de fabricantes como Apple y Google, la CIA se asegura de que pueda hackear a todos y a mdsh; a expensas de dejar a todos pirateados.

Los programas de “guerra cibernética” son un serio riesgo de proliferación

Las “armas” cibernéticas no son posibles de mantener bajo control efectivo.

Si bien la proliferación nuclear se ha visto restringida por los enormes costos y la infraestructura visible que implica el ensamblaje de suficiente material fisible para producir una masa nuclear crítica, las ‘armas’ cibernéticas, una vez desarrolladas, son muy difíciles de retener.

Las ‘armas’ cibernéticas son, de hecho, solo programas de computadora que pueden ser pirateados como cualquier otro. Como están compuestos por información, pueden copiarse rápidamente sin costo marginal.

Asegurar tales ‘armas’ es particularmente difícil ya que las mismas personas que las desarrollan y usan tienen la habilidad de filtrar copias sin dejar rastros, a veces usando las mismas ‘armas’ contra las organizaciones que las contienen. Existen importantes incentivos de precios para que hackers y consultores gubernamentales obtengan copias, ya que existe un “mercado de vulnerabilidad” global que pagará cientos de miles o millones de dólares por copias de esas “armas”. Del mismo modo, los contratistas y las empresas que obtienen tales ‘armas’ a veces las usan para sus propios fines, obteniendo una ventaja sobre sus competidores en la venta de servicios de “pirateo”.

En los últimos tres años, el sector de inteligencia de los Estados Unidos, compuesto por agencias gubernamentales como la CIA y la NSA y sus contratistas, como Booz Allan Hamilton, ha sido objeto de una serie sin precedentes de filtraciones de datos por parte de sus propios trabajadores.

Varios miembros de la comunidad de inteligencia aún no nombrados públicamente han sido arrestados o sujetos a investigaciones penales federales en incidentes separados.

Más visiblemente, el 8 de febrero de 2017, un gran jurado federal de los EE. UU. Acusó formalmente a Harold T. Martin III de 20 cargos de mal manejo de información clasificada. El Departamento de Justicia alegó que confiscó unos 50,000 gigabytes de información de Harold T. Martin III que había obtenido de programas clasificados en la NSA y la CIA, incluido el código fuente de numerosas herramientas de piratería informática.

Una vez que un solo ‘arma’ cibernética es ‘suelto’, puede extenderse por todo el mundo en segundos, para ser utilizado por los estados pares, la ciber mafia y los hackers adolescentes por igual.

Consulado de los EE. UU. En Frankfurt es una base encubierta de hackers de la CIA

Además de sus operaciones en Langley, Virginia, la CIA también utiliza el consulado de EE. UU. En Francfort como una base encubierta para sus piratas informáticos que cubren Europa, Medio Oriente y África.

Los piratas informáticos de la CIA que operan desde el consulado de Frankfurt ( “Centre for Cyber ​​Intelligence Europe” o CCIE) reciben pasaportes diplomáticos (“negros”) y la cobertura del Departamento de Estado. Las instrucciones para los piratas informáticos entrantes de la CIA hacen que los esfuerzos de contrainteligencia de Alemania parezcan intrascendentes: “Avance a través de las Aduanas alemanas porque tiene su historia de cobertura para la acción y todo lo que hicieron fue sellar su pasaporte”.

Su historia de portada (para este viaje)
P: ¿Por qué estás aquí?
A: Apoyo de consultas técnicas en el Consulado.

Dos publicaciones anteriores de WikiLeaks ofrecen más detalles sobre los enfoques de la CIA para los procedimientos de inspección aduanera y secundaria .

Una vez en Frankfurt, los hackers de la CIA pueden viajar sin más controles fronterizos a los 25 países europeos que forman parte de la zona fronteriza abierta de Shengen, incluidos Francia, Italia y Suiza.

Varios de los métodos de ataque electrónico de la CIA están diseñados para la proximidad física. Estos métodos de ataque pueden penetrar redes de alta seguridad que están desconectadas de Internet, como la base de datos de registros policiales. En estos casos, un oficial de la CIA, agente o agente de inteligencia aliado que actúa bajo instrucciones, se infiltra físicamente en el lugar de trabajo objetivo. El atacante cuenta con un malware que contiene USB desarrollado para la CIA con este fin, que se inserta en la computadora de destino. El atacante luego infecta y exfiltra los datos a medios extraíbles. Por ejemplo, el sistema de ataque de la CIA Fine Dining , proporciona 24 aplicaciones señuelo para que los espías de la CIA utilicen. Para los testigos, el espía parece estar ejecutando un programa que muestra videos (por ejemplo, VLC), presentando diapositivas (Prezi), jugando un juego de computadora (Breakout2, 2048) o incluso ejecutando un escáner de virus falso (Kaspersky, McAfee, Sophos). Pero mientras la aplicación señuelo está en la pantalla, el sistema subyacente es automáticamente infectado y saqueado.

Cómo la CIA aumentó dramáticamente los riesgos de proliferación

En lo que seguramente es uno de los objetivos más asombrosos de la inteligencia en la memoria, la CIA estructuró su régimen de clasificación de modo que para la parte más valiosa del mercado de “Vault 7” – el malware armado de la CIA (implantes + cero días), Listening Posts ( LP) y sistemas de comando y control (C2): la agencia tiene pocos recursos legales.

La CIA hizo estos sistemas sin clasificar.

Por qué la CIA decidió hacer que su ciberarsenal no se clasifique revela cómo los conceptos desarrollados para uso militar no se cruzan fácilmente con el “campo de batalla” de la “guerra” cibernética.

Para atacar sus objetivos, la CIA generalmente requiere que sus implantes se comuniquen con sus programas de control a través de Internet. Si los implantes CIA, el software Command & Control y Listening Post se clasificaran, los funcionarios de la CIA podrían ser procesados ​​o despedidos por violar las normas que prohíben colocar información clasificada en Internet. En consecuencia, la CIA ha clasificado en secreto la mayor parte de su código de espionaje cibernético / guerra sin clasificar. El gobierno de EE. UU. Tampoco puede hacer valer los derechos de autor debido a restricciones en la Constitución de los EE. UU. Esto significa que los fabricantes de “armas” cibernéticas y los hackers informáticos pueden “piratear” libremente estas “armas” si se obtienen. La CIA ha tenido que confiar principalmente en la ofuscación para proteger sus secretos de malware.

Se pueden disparar armas convencionales como misiles al enemigo (es decir, a un área no segura). La proximidad o el impacto con el objetivo detona la artillería, incluidas sus partes clasificadas. Por lo tanto, el personal militar no viola las reglas de clasificación disparando municiones con partes clasificadas. La artillería probablemente explote. Si no es así, esa no es la intención del operador.

Durante la última década, las operaciones de piratería de EE. UU. Se han ido vistiendo cada vez más en jerga militar para aprovechar las fuentes de financiación del Departamento de Defensa. Por ejemplo, los intentos de “inyecciones de malware” (jerga comercial) o “gotas de implantes” (jerga de la NSA) se denominan “incendios” como si se disparara un arma. Sin embargo, la analogía es cuestionable.

A diferencia de las balas, las bombas o los misiles, la mayoría del malware de la CIA está diseñado para vivir durante días o incluso años después de haber alcanzado su “objetivo”. El malware de la CIA no “explota con el impacto”, sino que infesta permanentemente su objetivo. Para infectar el dispositivo del objetivo, las copias del malware deben colocarse en los dispositivos del objetivo, dando posesión física del malware al objetivo. Para volver a filtrar los datos a la CIA o para esperar nuevas instrucciones, el malware debe comunicarse con los sistemas CIA Command & Control (C2) ubicados en los servidores conectados a Internet. Pero dichos servidores generalmente no están aprobados para contener información clasificada, por lo que los sistemas de comando y control de la CIA también se clasifican como no clasificados.

Un “ataque” exitoso en el sistema informático de un objetivo se parece más a una serie de maniobras de stock complejas en una oferta hostil de adquisición o la colocación cuidadosa de rumores para ganar control sobre el liderazgo de una organización en lugar de disparar un sistema de armas. Si hay que hacer una analogía militar, la infestación de un objetivo es tal vez similar a la ejecución de toda una serie de maniobras militares contra el territorio del objetivo, incluida la observación, la infiltración, la ocupación y la explotación.

Evadiendo forense y antivirus

Una serie de estándares establece patrones de infestación de malware de la CIA que probablemente ayuden a los investigadores forenses de la escena del crimen, así como a Apple, Microsoft, Google, Samsung, Nokia, Blackberry, Siemens y las compañías antivirus a atribuir y defenderse contra los ataques.

“Tradecraft DO’s y DON’Ts” contiene reglas de la CIA sobre cómo se debe escribir su malware para evitar huellas dactilares que impliquen a la “CIA, el gobierno de EE. UU. O sus contrapartes ingeniosas” en una “revisión forense”. Estándares secretos similares cubren el uso del cifrado para ocultar la piratería CIA y la comunicación de malware (pdf), describiendo objetivos y datos exfiltrados (pdf) y ejecutando cargas útiles (pdf) y persistencia (pdf) en las máquinas del objetivo a lo largo del tiempo.

Los hackers de la CIA desarrollaron ataques exitosos contra la mayoría de los programas antivirus conocidos. Estos están documentados en AV derrotas , Productos de seguridad personal , Detección y derrota de PSP y PSP / Depurador / RE Avoidance . Por ejemplo, Comodo fue derrotado por un malware de la CIA y se colocó en la “Papelera de reciclaje” de la ventana . Mientras que Comodo 6.x tiene un “Gaping Hole of DOOM” .

Los piratas informáticos de la CIA discutieron sobre lo que los hackers de la NSA “Grupo de ecuaciones” hicieron mal y cómo los fabricantes de malware de la CIA podrían evitar una exposición similar .

Ejemplos

El sistema de gestión del Grupo de Desarrollo de Ingeniería (EDG) de la CIA contiene alrededor de 500 proyectos diferentes (algunos de los cuales están documentados por “Año Cero”) cada uno con sus propios subproyectos, malware y herramientas de hackers.

La mayoría de estos proyectos se relacionan con herramientas que se usan para penetración, infestación (“implantar”), control y exfiltración.

Otra rama del desarrollo se centra en el desarrollo y la operación de los sistemas Listening Posts (LP) y Command and Control (C2) utilizados para comunicarse y controlar los implantes CIA; los proyectos especiales se utilizan para dirigir hardware específico desde enrutadores a televisores inteligentes.

Algunos proyectos de ejemplo se describen a continuación, pero consulte la tabla de contenido para ver la lista completa de proyectos descritos por el “Año Cero” de WikiLeaks.

RESENTIMIENTO

Las técnicas de piratería creadas a mano de la CIA plantean un problema para la agencia. Cada técnica que ha creado forma una “huella dactilar” que los investigadores forenses pueden usar para atribuir múltiples ataques diferentes a la misma entidad.

Esto es análogo a encontrar la misma herida de cuchillo distintiva en múltiples víctimas de asesinato separadas. El estilo de herida único crea la sospecha de que un solo asesino es responsable. Tan pronto se resuelva un asesinato en el set, los otros asesinatos también encontrarán probable atribución.

El grupo UMBRAGE de la Unidad de Dispositivos Remotos de la CIA recopila y mantiene una importante biblioteca de técnicas de ataque “robadas” del malware producido en otros estados, incluida la Federación Rusa.

Con UMBRAGE y proyectos relacionados, la CIA no solo puede aumentar su número total de tipos de ataques, sino también dirigir la atribución al dejar atrás las “huellas dactilares” de los grupos a los que se robaron las técnicas de ataque.

Los componentes de UMBRAGE cubren keyloggers, recopilación de contraseñas, captura de cámara web, destrucción de datos, persistencia, escalamiento de privilegios, ocultamiento, prevención de virus (PSP) y técnicas de encuesta.

Buena cena

Fine Dining viene con un cuestionario estandarizado, es decir, un menú que completan los funcionarios de caso de la CIA. El cuestionario es utilizado por la OSB ( Subdirección de Soporte Operacional ) de la agencia para transformar las solicitudes de los funcionarios del caso en requisitos técnicos para ataques de pirateo (generalmente “información exfiltrante” de sistemas informáticos) para operaciones específicas. El cuestionario permite al OSB identificar cómo adaptar las herramientas existentes para la operación y comunicarlo al personal de configuración de malware de la CIA. El OSB funciona como la interfaz entre el personal operativo de la CIA y el personal de soporte técnico relevante.

Entre la lista de posibles objetivos de la colección se encuentran ‘Activo’, ‘Activo de enlace’, ‘Administrador del sistema’, ‘Operaciones de información extranjera’, ‘Agencias de inteligencia extranjeras’ y ‘Entidades de gobierno extranjero’. Notablemente ausente es cualquier referencia a extremistas o criminales transnacionales. Al “Oficial de casos” también se le pide que especifique el entorno del objetivo, como el tipo de computadora, el sistema operativo utilizado, la conectividad a Internet y las utilidades antivirus instaladas (PSP), así como una lista de tipos de archivos que se extraerán como documentos de Office , audio, video, imágenes o tipos de archivos personalizados. El ‘menú’ también solicita información si es posible el acceso recurrente al objetivo y cuánto tiempo se puede mantener el acceso no observado a la computadora. Esta información es utilizada por el software ‘JQJIMPROVISE’ de la CIA (ver a continuación) para configurar un conjunto de malware CIA adecuado a las necesidades específicas de una operación.

Improvise (JQJIMPROVISE)

‘Improvise’ es un conjunto de herramientas para configuración, postprocesamiento, configuración de carga útil y selección de vectores de ejecución para herramientas de encuesta / exfiltración compatibles con todos los sistemas operativos principales, como Windows (Bartender), MacOS (JukeBox) y Linux (DanceFloor). Sus utilidades de configuración como Margarita le permiten al NOC (Centro de Operación de Red) personalizar herramientas basadas en los requisitos de cuestionarios de ‘Comida Fina’.

COLMENA

HIVE es un conjunto de malware CIA multiplataforma y su software de control asociado. El proyecto proporciona implantes personalizables para Windows, Solaris, MikroTik (utilizados en enrutadores de internet) y plataformas Linux y una infraestructura de Puesto de Escucha (LP) / Comando y Control (C2) para comunicarse con estos implantes.

Los implantes están configurados para comunicarse a través de HTTPS con el servidor web de un dominio de cobertura; cada operación que utiliza estos implantes tiene un dominio de cobertura separado y la infraestructura puede manejar cualquier cantidad de dominios de cobertura.

Cada dominio de cubierta se resuelve en una dirección IP que se encuentra en un proveedor comercial de VPS (Servidor privado virtual). El servidor público reenvía todo el tráfico entrante a través de una VPN a un servidor ‘Blot’ que maneja las solicitudes de conexión reales de los clientes. Está configurado para la autenticación de cliente SSL opcional: si un cliente envía un certificado de cliente válido (solo los implantes pueden hacerlo), la conexión se reenvía al servidor de herramientas ‘Honeycomb’ que se comunica con el implante; si falta un certificado válido (que es el caso si alguien intenta abrir el sitio web de dominio de tapa por accidente), el tráfico se reenvía a un servidor de cobertura que ofrece un sitio web de aspecto poco sospechoso.

El servidor de herramientas Honeycomb recibe información exfiltrada del implante; un operador también puede realizar tareas en el implante para ejecutar trabajos en la computadora objetivo, por lo que el servidor de herramientas actúa como un servidor C2 (comando y control) para el implante.

Funcionalidad similar (aunque limitada a Windows) es proporcionada por el proyecto RickBobby.

Consulte las guías de usuarios y desarrolladores clasificados para HIVE.

Preguntas frecuentes

¿Porqué ahora?

WikiLeaks se publicó tan pronto como su verificación y análisis estuvieron listos.

En febrero, la administración de Trump emitió una orden ejecutiva que exige la preparación de una revisión de “guerra cibernética” dentro de los 30 días.

Si bien la revisión aumenta la puntualidad y la relevancia de la publicación, no desempeñó ningún papel al establecer la fecha de publicación.

Redacciones

Los nombres, direcciones de correo electrónico y direcciones IP externas se han redactado en las páginas publicadas (70,875 redacciones en total) hasta que se complete el análisis.

  1. Exceso de redacción: es posible que se hayan redactado algunos elementos que no son empleados, contratistas, objetivos o relacionados con la agencia, sino que son, por ejemplo, los autores de la documentación de proyectos que de otra manera serían utilizados por la agencia.
  2. Identidad frente a persona: los nombres redactados se reemplazan por ID de usuario (números) para permitir a los lectores asignar varias páginas a un solo autor. Dado el proceso de redacción utilizado, una sola persona puede estar representada por más de un identificador asignado, pero ningún identificador se refiere a más de una persona real.
  3. Los archivos adjuntos (zip, tar.gz, …) se reemplazan por un PDF que enumera todos los nombres de archivo en el archivo. A medida que se evalúa el contenido del archivo, puede estar disponible; hasta entonces, el archivo está redactado.
  4. Los archivos adjuntos con otro contenido binario se reemplazan por un volcado hexadecimal del contenido para evitar la invocación accidental de archivos binarios que pueden haber sido infectados con el malware armado de la CIA. A medida que se evalúa el contenido, puede estar disponible; hasta entonces, el contenido está redactado.
  5. Las decenas de miles de referencias de direcciones IP enrutables (incluidas más de 22 mil dentro de los Estados Unidos) que corresponden a posibles destinos, servidores de correos ocultos de la CIA, sistemas intermedios y de prueba, están redactadas para una investigación más exclusiva.
  6. Los archivos binarios de origen no público solo están disponibles como depósitos para evitar la invocación accidental de binarios infectados con malware de la CIA.

Organigrama

El organigrama corresponde al material publicado por WikiLeaks hasta el momento.

Dado que la estructura organizativa de la CIA por debajo del nivel de Direcciones no es pública, la ubicación del EDG y sus sucursales dentro del organigrama de la agencia se reconstruye a partir de la información contenida en los documentos publicados hasta el momento. Está destinado a ser utilizado como un esbozo de la organización interna; Tenga en cuenta que el organigrama reconstruido es incompleto y que las reorganizaciones internas ocurren con frecuencia.

Páginas Wiki

“Year Zero” contiene 7818 páginas web con 943 archivos adjuntos del groupware de desarrollo interno. El software utilizado para este fin se llama Confluence, un software propietario de Atlassian. Las páginas web en este sistema (como en Wikipedia) tienen un historial de versiones que puede proporcionar información interesante sobre cómo evolucionó un documento a lo largo del tiempo; los documentos 7818 incluyen estos historiales de página para las 1136 últimas versiones.

El orden de las páginas con nombre dentro de cada nivel está determinado por la fecha (el más antiguo primero). El contenido de la página no está presente si originalmente fue creado dinámicamente por el software Confluence (como se indica en la página reconstruida).

¿Qué período de tiempo está cubierto?

Los años 2013 a 2016. El orden de clasificación de las páginas dentro de cada nivel está determinado por fecha (el más antiguo primero).

WikiLeaks ha obtenido la fecha de creación / última modificación de la CIA para cada página, pero estas aún no aparecen por razones técnicas. Por lo general, la fecha se puede discernir o aproximar a partir del contenido y el orden de la página. Si es fundamental conocer la fecha / hora exacta, póngase en contacto con WikiLeaks.

Qué es “Vault 7”

“Vault 7” es una colección sustancial de material sobre actividades de la CIA obtenido por WikiLeaks.

¿Cuándo se obtuvo cada parte de “Vault 7”?

La primera parte se obtuvo recientemente y cubre hasta 2016. Los detalles de las otras partes estarán disponibles en el momento de la publicación.

¿Cada parte de “Vault 7” proviene de una fuente diferente?

Los detalles sobre las otras partes estarán disponibles en el momento de la publicación.

¿Cuál es el tamaño total de “Vault 7”?

La serie es la publicación de inteligencia más grande de la historia.

¿Cómo obtuvo WikiLeaks cada parte de “Vault 7”?

Las fuentes confían en que WikiLeaks no revelará información que pueda ayudar a identificarlas.

¿No le preocupa a WikiLeaks que la CIA actuará en contra de su personal para detener la serie?

No. Eso sería ciertamente contraproducente.

¿WikiLeaks ya ‘minó’ todas las mejores historias?

No. WikiLeaks no ha escrito intencionalmente cientos de historias impactantes para alentar a otros a encontrarlas y así crear experiencia en el área para las siguientes partes de la serie. Están ahí. Mira. Aquellos que demuestran excelencia periodística pueden ser considerados para el acceso temprano a partes futuras.

 

Fuente: WikiLeaks

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *